 Windows 2000/XP: Safer Surfen...der Sicherheitsworkshop (Update 03.05.2011) |
     |
Einleitung:
Die Wurmattacken der letzten Wochen blieben nicht ohne Auswirkungen auf die Usergemeinde und der Ruf nach sicheren Betriebssystemen bzw. nach Hilfsmitteln in Form von brauchbaren Firewalls/Virenscannern war auch in unserer Redaktion deutlich vernehmbar.
Trotz aller Warnungen scheint es aber gerade im Hinblick auf eine sichere Internetverbindung doch einige klare Denkfehler und Irritationen zu geben, denn es reicht eben nicht aus, eine Firewall zu installieren und sich dann beruhigt zurückzulehnen, weil ja nun die totale Sicherheit herrscht. Eine Computerverbindung ist grundsätzlich von beiden Richtungen aus in beide Richtungen nutzbar.
Das gilt natürlich auch für eine Internetverbindung. Nur durch ein gezieltes Abwehren der Zugriffe von der "anderen Seite" ist ein hohes Maß Sicherheit zu gewährleisten, zumal über das Internet eine unkalkulierbar große Zahl von Menschen zugreifen kann.
Das immer wieder Sicherheitslücken an Stellen entdeckt werden, wo sie niemand vermutete, zeigt die Win32.Blaster-Wurmattacke, denn wer hat sich schon darüber ernsthaft Gedanken gemacht, warum der windowseigene RPC-Dienst aufs Internet zugreifen muß, wo er doch ausschließlich in einem Netzwerk wirklich Sinn macht. Schon gab es eine klaffende Sicherheitslücke, die viele aus Unkenntnis nicht geschlossen hatten. Die wochenlange Verfügbarkeit eines helfenden Patches kann nicht darüber hinweg helfen, daß Microsoft diesbezüglich nicht genug Aufklärungsarbeit geleistet hat.
Auch aus diesem Grund wollen wir euch einige Möglichkeiten aufzeigen, wir ihr ohne größere Investitionen sehr viel sicherer und komfortabel surfen könnt, auch wenn es die absolute Sicherheit nicht gibt.
1. Welches Betriebssystem sollte ich zum Surfen verwenden und was sollte ich beachten?
Die Zeiten von Windows 9x sind nicht nur durch den verfallenden Support gezählt, sie bieten einfach zu wenig Ansatzpunkte, um eine vernünftige Surf-Basis zu schaffen.
Darum sollte es schon Windows 2000 oder Windows XP sein, denn allein die Möglichkeit NTFS als Dateisystem zu verwenden, bietet durch seine umfangreichen Sicherheitsoptionen, eine Fülle von sicherheitsrelevanten Maßnahmen an, die ihre Wirkung nicht verfehlen.
Lest bitte zu diesem Thema auch unseren Partitions-Workshop
, wo u.a. auch die Vorteile von NTFS explizit herausgestellt werden.
Ein erster wichtiger Schritt zu mehr Sicherheit führt schon über die richtige Installationsreihenfolge, wir haben das mal am Beispiel von Windows XP festgemacht:
1. Windows installieren (am besten von CD mit integriertem Service Pack 3)
2. Servicepack installieren. (sofern nicht schon auf CD eingebunden, s.o.)
3. Wurmports schließen ->zum Artikel
4. aktuelle Chipsatztreiber installieren, schaut dazu bei Intel, Nvidia oder SIS nach aktuellen Mainboardtreibern, die Treiber auf den Installations-CDs sind veraltet
5. DirectX aktualisieren DirectX End-User Runtimes (April 2011)
6. aktuelle Grafikkartentreiber und Monitortreiber installieren. Schaut dazu bitte beim Grafikchiphersteller auf den Webseiten (ATI oder Nvidia), die Treiber auf den beigelegten CDs sind veraltet
7. aktuelle Soundkartentreiber installieren
8. weitere aktuelle Treiber für Peripheriegeräte installieren
9. die restlichen Windows-Patches installieren
10. die Dienste sicherheitsrelevant konfigurieren ->zum Artikel
11. jetzt erst den Internetzugang konfigurieren (nachdem alle verfügbaren Sicherheitsupdates installiert sind)
wichtig: beachtet bei der Treiberinstallation bitte auch unseren Treiber Spezial-Artikel
zu dem Thema !
Es macht also durchaus Sinn, sich seine Updates schon vorher auf einer CD/DVD zu sichern, respektive sich gleiche eine entsprechende Installations-CD/DVD zu erstellen:
2. Providersoftware, DFÜ oder was?
Wenn ihr die Wahl habt, dann solltet ihr euch für eine RASPPPOE-Verbindung ins Internet entscheiden.
Sie ist schnell, stabil, unkompliziert und man kann TCP/IP in den Netzwerkeigenschaften deaktivieren (nicht deinstallieren!).
Zum Vergrößern bitte das Bild anklicken !
Die Vorteile von RASPPPOE gegenüber der XP-eigenen PPPOE-Anbindung liegen auf der Hand:
- volle Ausnutzung der maximal möglichen PPPoE MTU (Maximum Transmission Unit) von 1492.
- unterstützt Internetverbindungsfreigabe und NAT nahtlos.
- erlaubt das Abstimmen der TCP RWIN-Größe. (Maximale Datenlänge, die ein Server sendet, bevor eine Empfangsbestätigung eingeholt wird) ohne Registry-Änderungen (101000 kbps statt 64 KB des XP-Standards, das häufig zu klein ist für Broadcast-Verbindungen).
- stellt die Broadcast-Server-Fähigkeit bereit (RFC 2516).
Die schon erwähnte Deaktivierung von TCP/IP erhöht die Sicherheit unserer Internetanbindung, denn der TCP/IP-Stack ist auch nach 30 Jahren immer noch nicht sicher vor Angriffen!
Installationanleitung für RASPPPOE unter Windows 2000/XP
Optimierung von RASPPPOE unter Windows XP
3. Gefährliche Scriptsprachen abschotten:
Die Einbindung von VB-Scripten ins Dateierkennungssystem von Windows 2000/XP birgt einige Gefahren, wir erinnern uns sicherlich alle an "Loveletters". Somit macht es sehr viel Sinn, diese Optionen aus dem System zu verbannen.
Wir öffnen dazu unseren Arbeitsplatz per Doppelklick und gehen zu "Extras" ->Ordneroptionen ->Dateitypen ->"VBS VBScript Script File", wo wir genau diesen Eintrag löschen.
Zum Vergrößern bitte das Bild anklicken !
Durch das Löschen dieser Zuordnung wird die automatische Ausführung von VB-Scripten unterbunden und Windows fragt künftig nach, was es mit diesen Dateien tun soll.
Falls VBS doch benötigt wird, können wir diesen Schritt problemlos wieder umkehren.
4. Dateinamen-Erweiterungen richtig behandeln:
Sehr viel Malware (Viren/Würmer) werden durch den Dateianhang von E-Mails eingeschleust und Windows wirkt in diesen Fällen leider als stiller Helfer mit, denn die Erweiterungen bekannter Dateinamen sind standardmäßig ausgeblendet, was die Abwehr nicht wirklich erleichert.
Was liegt also näher, als genau diese Einstellung umzukehren. Dazu wählen wir im geöffneten Arbeitsplatz den Karteireiter "Extras" ->"Ordneroptionen" ->"Ansicht" und entfernen den bewußten Haken.
Zum Vergrößern bitte das Bild anklicken !
Durch diese Maßnahme haben wir einen sehr gefährlichen Angriffspunkt neutralisiert, denn jetzt können wir in unseren Mails explizit die Dateiendungen kontrollieren und ausführbare .exe-Dateien auch als solche identifizieren, um sie eben nicht auszuführen!
Also prüft sehr genau, was sich im Dateianhang eurer Mails befindet und löscht ihn im Zweifel, denn die meisten Viren/Würmer/ werden durch solche .exe-Dateien erst aktiviert.
5. MS-Office sicherer einstellen:
Ein Makrovirus besteht aus schädigendem Code (z.B. "Melissa"), der in der Makrosprache von Anwendungen geschrieben ist. Diese Viren können Anwendungen und Daten beträchtlich schädigen. Ohne geeignete Schutzmaßnahmen können Makroviren auf unserem Computer übertragen werden. Beispielsweise können Makroviren in der Formatvorlage Normal oder in einer globalen Formatvorlage gespeichert werden. Danach wird möglicherweise jedes Dokument, das wir öffnen, automatisch mit dem Makrovirus infiziert.
Nicht alle Antivirenprogramme unterstützen Office 2000. Wir können aber sehr leicht überprüfen, ob ein Antivirenprogramm auf unserem Rechner registriert ist, indem wir das Dialogfeld Sicherheit in Word, Excel oder PowerPoint öffnen.
Dazu klicken wir im Menü Extras auf Makro, und klicken dort auf Sicherheit.
Wenn kein Antivirenprogramm zum Scannen der Office-Dokumente registriert wurde, wird im Dialogfeld Sicherheit die Meldung "Es ist kein Virenscanner installiert" angezeigt. Dieses Manko solltest ihr schnellstens durch ein geeigneten Virenscanner beheben.
Zum Vergrößern bitte das Bild anklicken !
Wenn wir also der Herkunft eines Dokuments nicht sicher sind - blockieren wir einfach das Ausführen von Makros.
Mit der elektronischen Post werden die Viren am häufigsten verbreitet. Kein Wunder, da gerade die Microsoft Office Dokumente sich so bequem als Anlage verschicken lassen. Die meisten Dokumente erreichen den Empfänger gerade auf diesem Wege.
Der Schutz vor Makroviren ist im Prinzip sehr einfach, außerdem werden die meisten Makroviren von fast allen Antivirenprogrammen, die gekauft oder im Netz gefunden und heruntergeladen werden können, erkannt. Bei der Arbeit mit der elektronischen Office-Post gilt grundsätzlich das Motto: Finger weg von unbekannten Anlagen!
6. Outlook/Outlook-Express sicherheitstechnisch optimieren:
Outlook Express ist als Einfalltor für Viren und Trojaner sehr beliebt. Das liegt einerseits an der weiten Verbreitung als E-Mail - Client, die dazu führt, dass ein Programm, das eine OE-Sicherheitslücke ausnutzt, auf sehr vielen Rechnern auf der Welt funktioniert. Ausserdem garantiert ein erfolgreicher Angriff auf das E-Mail-Programm eine schnelle Verbreitung über dieses Medium. Andererseits haben die Programmierer in Outlook Express besonders viele sicherheitsrelevante Lücken gelassen.
Wer das Programm einsetzt, sollte daher regelmäßig bei Microsoft nach Sicherheitsupdates suchen. Darüberhinaus lassen sich viele Lücken durch richtige Konfiguration schließen. Zunächst schaltet man die Nachrichten-Vorschau ab, damit es möglich ist, eine E-Mail auszuwählen und zu löschen, ohne das Outlook Express sie öffnet und dabei potenziell gefährliche Skripte oder Attachments ausführt. Zum anzeigen der Mail bedient sich OE eines eingebetteten Internet-Explorer-Fenster. Daher sollte unbedingt die Zone für eingeschränkte Sites ausgewählt werden. Diese ist in den Internet-Einstellungen unter "Sicherheit" außerdem so restriktiv wie möglich zu kofigurieren:
Auf "Stufe anpassen", dort die Einstellung auf "Hoch" zurücksetzen und alle noch aktivierten Optionen deaktivieren. Dabei schaltet man unter anderem alle Optionen mit Bezug zu AktiveX sowie Aktive Scripting ab. Die einzelnen Einstellungen kann man beim ct-Browser-check auf www.heise.de
nachsehen und überprüfen.
Die OE Option "Sichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten können, nicht zulassen?" in neueren OE-Versionen ist das dagegen wenig hilfreich , da sie den Empfang von ausführbaren Attachments komplett unterbindet. In dem Punkt muss man wohl oder übel den Virenschutz zwischen die Ohren des Anwenders verlagern: Mitdenken und keine Software aus unbekannten Quellen doppelklicken!
Anti-Spam-Strategien
Blind Carbon Copy verwenden
Mozilla Thunderbird als Emailclient einsetzen
7. Datei-und Druckerfreigabe deaktivieren:
Auch dies ist wieder eine standardisierte Einstellung, die in einem Netzwerk oder Intranet sicherlich Sinn macht, aber eben nicht im privaten Netzwerk, wo es die Anbindung ans Internet gibt und wo viele sehr neugierige Personen nur darauf warten, unseren Rechner auszuspähen und als Angriffsobjekt ins Visier zu nehmen.
Selbstverständlich wird dieses "Feature" umgehend deaktiviert, über einen Rechtsklick auf eure Netzwerkumgebung ->Eigenschaften ->LAN-Verbindung ->Eigenschaften erreichen wir die zu deaktivierenden Optionen.
Zum Vergrößern bitte das Bild anklicken !
Wenn sich der Rechner in einem Firmennetzwerk befindet solltet ihr diese Maßnahmen mit den Administratoren absprechen, ansonsten wird es schwierig auf eure Unterlagen/Dateien zuzugreifen, die möglicherweise täglich von euren Kollegen benötigt werden.
8. Fehlgeschlagene Anmeldungen überwachen:
Wenn wir unter Windows XP Professional fehlgeschlagene Anmeldeversuche überwachen wollen, um z.B. Einbruchsversuche im System zu identifizieren, dann gibt es eine sehr brauchbare Methode:
- "Start" -> "Einstellungen" -> "Systemsteuerung" -> "Verwaltung".
- Im Fenster "Lokale Sicherheitseinstellungen" klicken wir auf das + Zeichen und erweitern den Verzeichniszweig "Lokale Richtlinien", danach weiter zu -> "Überwachungsrichtlinien".
- Wir doppelklicken nun auf "Anmeldeversuche überwachen" und aktivieren die Option "Fehlgeschlagen".
- Mit dem Eintrag "Anmeldeereignisse überwachen" verfahren wir genauso.
Nach dem Übernehmen der Einstellungen und dem Schließen der Fenster, sind die Einstellungen aktiv.
Zum Vergrößern bitte das Bild anklicken !
Windows legt zur Überwachung der Anmeldeversuche keine eigene Log-Datei an, sondern legt die Informationen in der Computerverwaltung ab.
Also auf zur Systemsteuerung ->Verwaltung ->Ereignisanzeige und nun zum Eintrag "Sicherheit".
Dort werden uns im Sichtfenster alle registrierten Zugriffe angezeigt.
Sollte unser Rechner in einer Netzwerk-Domäne laufen, dann sind diese Optionen meistens schon standardmäßig aktiviert und lassen sich manuell auch nicht abstellen.
9. Sicherheitsstatus des Internet Explorers prüfen:
Da Viren gerne die aktuellen Sicherheitseinstellungen des Internet Explorers "aktualisieren", solltet ihr regelmäßig diese Einstellungen prüfen.
Zum Vergrößern bitte das Bild anklicken !
 |
Die mittlere Sicherheitsstufe hat sich als sehr praktikabel erwiesen, insofern solltet dies als Mindestmaß auch eingestellt sein.
Der Internet Explorer unterscheidet zwischen vier Zonen: ‘Intranet’, ‘Vertrauenswürdige Sites’, ‘Eingeschränkte Sites’ - also solcher Sites, von denen der Benutzer befürchtet, dass sie auf seinem PC Schaden anrichten könnten - und ‘Internet’. Zur Intranet-Zone zählt der Browser alle Sites, für die er keinen Proxy-Server verwenden muss (Internetoptionen, Registerkarte Verbindungen, dort unter ‘Einstellungen...’). Die Liste der vertrauenswürdigen und der eingeschränkten Sites kann der Benutzer selber bearbeiten; die Zone ‘Internet’ enthält alle restlichen Sites.
Sämtliche Parameter, die der Internet Explorer über die Zonen verwaltet, lassen sich unter der Registerkarte ‘Sicherheit’ der Internetoptionen verwalten. Neben der Behandlung von ActiveX-Controls umfassen die Sicherheitseinstellungen insgesamt 22 Einzelpunkte, darunter auch die Behandlung von Cookies, Java, JavaScript und VBScript sowie die Prämissen für den Dateidownload. Um die Einstellungen für den Anwender überhaupt handhabbar zu machen, hat Microsoft sie zu vier Standard-Sicherheitsstufen zusammengefasst: ‘Hoch’, ‘Mittel’, ‘Niedrig’ und ‘Sehr niedrig’.
Ärgerlicherweise hat Microsoft nicht alle sicherheitsrelevanten Optionen unter der Registerkarte ‘Sicherheit’ der Internetoptionen untergebracht. Auch ‘Inhalt’ enthält eine brisante Option: ‘AutoVervollständigen’ speichert auf Wunsch die Adressen besuchter Webseiten sowie die Einträge in WWW-Formulare. Auf diese Weise kann der Internet Explorer den Surfer bei der erneuten Eingabe unterstützen; dieser muss nur die ersten Zeichen einer Adresse oder eines Formulareintrags eingeben, der Browser fügt den Rest automatisch an.
Diese eigentlich sehr nützliche Funktion kann in Umgebungen kritisch werden, in denen mehrere Benutzer auf einen PC zugreifen (können). Denn in WWW-Formularen werden unter anderem sensible Informationen wie Kreditkartennummern oder Passwörter übermittelt. Auch Webadressen können als Parameter-Anhängsel Zugangsinformationen enthalten. Daher sollte man zumindest im Mehrbenutzerbetrieb das standardmäßig für Webadressen sowie Benutzernamen und Kennwörter aktivierte AutoVervollständigen ausschalten. Das ist jedoch nicht ganz einfach, da noch eine Checkbox ‘Verwenden von AutoVervollständigen für Webadressen’ in der Registerkarte ‘Erweitert’ existiert. Beide Einstellungen werden nicht synchronisiert; die Funktion ist nur deaktiviert, wenn der Benutzer sie an beiden Stellen ausschaltet.
10. Alternative Browser:
A) Opera (Aktuelle Version)
Wer die vielen Sicherheitslücken des Internet Explorers leid ist und sich nicht mehr mit dem erzwungenem Standardbrowser durchs Web bewegen möchte, sollte einen Blick auf die Browseralternative Opera werfen. Der Browser aus Norwegen wird ständig verbessert und gilt allgemein als sicher. Hier gibt es die Aktuelle Version
in deutsch zum downloaden.
Opera ab Version 6.01 unterstützt zahlreiche Internet-Tastaturen, so dass man komfortabel von einer Website zu anderen Website vor- oder zurückspringen kann. Eine Smooth-Scrolling-Funktion lässt sich aktivieren und das beliebte "AllTheWeb" ist jetzt als Standardsuchmaschine für Opera tätig. Ferner wurde die Bookmark-Funktion verbessert, und im E-Mail-Client lassen sich nun bequem Unterverzeichnisse einfügen. Darüber hinaus gibt es jetzt bessere Unterstützung für einige Druckertreiber sowie eine optimierte Speicherverwaltung.
B)Mozilla und Firefox
Es gibt seit dem Sommer 2002 eine hervorragende Alternative zum Internet Explorer: Mozilla ist ein Open Source Browser und hat zudem ein hervorragendes Mail-Programm mit Spamfilter dabei. Ebenfalls mit an Bord sind ein Newsreader sowie ein Adressbuch und ein einfacher HTML-Editor.
Der Browser ist flott, stabil und glänzt mit Ideen wie den Tabs, zusätzlichen Browser-Ebenen im Hauptfenster. Auch ein Popup-Killer sowie andere Werkzeuge zum Schutz der Privatsphäre und der Nerven sind eingebaut.
Firefox Download
Firefox ist ebenfalls ein schneller und schlanker Internet-Browser aus dem Hause Mozilla, im Gegensatz zu diesem aber auch für Endanwender entwickelt wurde.
Das Ziel des Mozilla Firefox-Projekts ist es, einen sicheren, schnellen, schlanken und einfach zu bedienenden Browser zu erstellen. Dabei beschränken sich die Entwickler auf den reinen Browser und verzichten bewusst auf ein integriertes Mail- oder Chatprogramm. Da Mozilla Firefox auf dem Mozilla-Programmcode basiert, ist es natürlich auch frei (Open Source) und für jeden Interessierten kostenlos verfügbar.
Mozilla Firefox bietet uns viele nützliche Funktionen, wie z.B. einen "Pop-Up-Blocker", der auf Wunsch Werbefenster ausblendet, die unaufgefordert aufspringen. Auch das "Tabbed-Browsing", mit dem man mehrere Seiten in einem Fenster darstellen kann, möchte man bereits nach kurzer Zeit nicht mehr missen.
11. Spamblockaden einrichten:
Arglose Anwender fallen immer wieder auf sogenannte Spam-Mails herein. Gerade in diesen Tagen wimmelt es nur von solchen Mails, die dem ahnungslosen User gefälschte 0190- Schutzsysteme oder andere Tools anbietet. Doch es gibt einfache Regeln, um nicht Opfer einer solchen Attacke zu werden:
- Absenderadresse vor dem Öffnen prüfen.
- Seriöse Absender haben keine Adressen, wie @hotmail oder Zahlen in Ihrer Adresse.
- Updates werden nicht unaufgefordert per Mail versand. Es ist wie beim Autohersteller: keiner schickt euch einfach Ersatzteile zu.
- Grundsätzlich keine Anhänge öffnen, bei denen der Absender nicht bekannt ist.
- Bei Unsicherheit, ob der Absender seriös ist, diesen im WWW überprüfen. Also direkt die Hompage aufsuchen oder noch vorher den Namen bei Google eingeben und schauen, was ausgegeben wird.
- Firewall und Virenscanner benutzen.
- Regelmäßig auf die Seiten der Mailclient Hersteller gehen und nach Updates Ausschau halten.
Ausgezeichnet funktioniert übrigens der E-Mail-Client Thunderbird
von Mozilla, der über einen hervorragenden Spamschutz verfügt.
12. Gute Passwörter sind unentbehrlich
Passwörter sollten aus Sicherheitsgründen niemals auf irgendwelchen Datenträgern elektronisch gespeichert werden, egal unter welchem Betriebssystem, verschlüsselt oder nicht. Wenn der Browser vorschlägt, ein Passwort für spätere Logins zu speichern, so ist dies selbstverständlich abzulehnen.
Wir empfehlen, die Zeichenfolgen mit einem Kugelschreiber auf einem Blatt Papier zu notieren, das man in persönliche Verwahrung nimmt (z.B. Geldbörse).
Auf die kleinen beliebten gelben Klebezettel gehören Passwörter natürlich ebenso wenig wie auf deren Rückseite (Supertrick!).
Claudia Schiffer und David Copperfield haben auf den ersten Blick wohl nicht mehr viel gemein.
Doch benutzt man deren Vor- oder Nachnamen als Passwörter, mit denen man einzelne Dateien, den ganzen Rechner, seinen Internetzugang oder Online-Banking-Account vor unbefugtem Zugriff schützen will, dann stellt man fest, dass Frau Schiffer und Herr Copperfield noch immer eins verbindet: Ihre Namen taugen nicht als Passwörter.
Mit einem 1 GHz-Pentium-PC dauert es eine einzige schlappe Sekunde, und die Passwörter "Claudia", "Schiffer" oder "David" sind entschlüsselt. Nur "Copperfield" ist etwas sicherer. Hier braucht selbiger PC immerhin schon zwanzig Sekunden, bis er das Passwort kennt. Jeder Hacker wird sich über diese freundliche Einladung zum Datenklau trotzdem herzlich freuen.
Ungeeignet, aber als Passwörter sehr beliebt sind nicht nur die Namen prominenter Persönlichkeiten. Auch der eigene Name oder der des Partners, der Name der Eltern, der Kinder oder des eigenen Haustieres, Geburtsdaten, Telefon- oder Autonummern und sonstige persönliche Daten - all das lässt sich ziemlich schnell ermitteln und ist als Passwort völlig ungeeignet.
Hackerfreundlich verhält sich auch, wer als Passwörter leicht tippbare Sequenzen (z.B. "qwertzui") oder Wörter benutzt, die man in Wörterbüchern nachschlagen kann. Kein Hacker hätte damit auch nur ansatzweise ein Problem, und zwar selbst dann nicht, wenn man all diese Begriffe in umgekehrter Reihenfolge einzutippen hätte.
Wie aber sieht ein gutes Passwort aus? Ein sicheres Passwort besteht aus mindestens sechs, besser acht unterschiedlichen Zeichen. Es sollte sowohl Buchstaben und Zahlen als auch Sonderzeichen sowie Groß- und Kleinschreibung enthalten.
Im Bestreben nach einem guten Passwort kann man sich durch Passwortgeneratoren
sehr gut unterstützen lassen.
Passwort-Check
13. Was kann die Windows XP-Firewall?
Die Firewall von Windows XP verfügte bis zum Servicepack 2 nur über eine Basis-Ausstattung. Es konnten lediglich hereinkommende Verbindungsversuche gefiltert werden, und es gab keine aufspringenden Warnfenster.
Darüber hinaus hat die Firewall die unerwünschte Eigenschaft, ohne zu fragen (im Gegensatz zu Personal Firewalls von anderen Herstellern), sang- und klanglos Regeln zu erstellen, die "Web-Diensten" und anderen Programmen von Microsoft die Übertragung von Daten ungeprüft erlauben.
Das hat sich seit dem Servicepack 3 deutlich verbesert, so daß wir sie als adäquate Desktop Firewall durchaus empfehlen können. Wenn sich der Rechner aber einen Trojaner eingefangen hat oder wenn ein Programm nach Hause telephoniert, hilft auch diese Firewall wie alle ihre 3rd-party Geschwister wenig.
14. Getestete Programme zur Absicherung des Internetzugangs:
14a) Personal Firewalls:
Noch einige grundsätzliche Anmerkungen zu Firewalls,
wenn es in eurer Budget paßt, dann schafft euch einen guten Router mit integrierter Firewall an, denn die Absicherung eures Internetzugangs gehört auch dort hin und nicht aufs Betriebssystem, wo es zu viele Angriffspunkte von ausführbaren Programmen geben kann. Ein Trojanerbefall von Außen ist kaum möglich, wenn ihr die Ports sinnvoll konfiguriert. Von der zentralen Administration (NAT, VPN, usw.) ganz zu schweigen. Aber auch diese Geräte bedürfen von Zeit zu Zeit einer Wartung in Form eines Firmwareupdates.
Router-Konfiguration -Workaround-
Aber:
Eine Desktop-Firewall wird trotz allem von uns grundsätzlich zwar empfohlen, aber die Konfiguration erfordert Netzwerk-Kenntnisse und eine schlecht konfigurierte Firewall liefert nunmal keinen Schutz und die automatische Vorkonfiguration in einigen Firewalls ist ein schlechter Witz und somit absolut inakzeptabel.
Wer ein Höchstmaß an Sicherheit erreichen möchte und entsprechende Kenntnisse besitzt, der kann sich auch zusätzlich zum Router noch eine Desktopfirewall installieren.
Man kann durchaus ein NT-basiertes Betriebssystem ohne Firewall und Virenscanner absichern, allein durch Patchen und manuelle Konfiguration der Dienste etc. Nur wie schon gesagt, dafür sind profunde Netzwerkkenntnisse nötig, über die im Normalfall aber die Masse der Homeuser nicht verfügt und darum haben gute Virenscanner und gut konfigurierbare Personal Firewalls durchaus ihre Daseinsberechtigung, wenn sie auch das Beschäftigen mit der Materie als solches nicht ersetzen. Das Installieren allein erzeugt keine Sicherheit und ein Rundumsorglospaket gibt es ebenfalls nicht.
Den fortgeschrittenen Usern können wir als gut konfigurierbare Alternative Outpost
und die für den Privatanwender kostenlose Version der Sygate 5.5 Firewall
empfehlen, für die wir auch einen entsprechenden Artikel anbieten:
Sygate Personal Firewall 5.5 (dt.) Workaround
Aber Achtung: die Sygate Firewall wird seit 2005 nicht mehr aktualisiert !
Zone Alarm war für uns kein ernsthaftes Kriterium, sie erzeugt unter Windows einfach zu viele schwer nachvollziehbare Fehler.
Das ist übrigens auch so ein Kritikpunkt zum Thema Firewalls, denn ein Einblick in den Sourcecode bieten die Hersteller grundsätzlich nicht an, sie werden wissen warum...
14b. Onlinevirenscanner:
Da wir immer auch den Kostenfaktor im Blickfeld behalten, wollen wir an dieser Stelle die unserer Meinung nach besten Onlinevirenscanner auflisten:
a) Bitdefender
b) Trend Micro
14c. Virenscanner:
Nachfolgend haben wir die unserer Meinung nach effektivsten derzeitigen Virenscanner für den Home-Bereich aufgelistet.
a) AntiVirenKit 2009 von G-Data
b) Kaspersky Antivirus 9.0
c) Avira Antivir Professional
Kaspersky ist auch noch aus einem weiteren nicht unerheblichen Grund besonders empfehlenswert, es bekämpft dank sehr aufwendiger heuristischer Analysen u.a. auch erfolgreich Trojaner und verfügt über eine der effektivsten Mailüberwachungen überhaupt...!
Einen sehr effektiven Trojaner/Malware Scanner als Ergänzung für Virenscanner präsentiert Emsisoft mit a-squared Free 3.0:
a-squared Free 3.0/4.0 in der Praxis
Deutlich besser und vorallem immer noch kostenlos und ohne Installation kommt die neue Variante daher:
Emsisoft Emergency Kit 1.0 in der Praxis
14d. Wurm-Removetools:
McAfee AVERT Stinger
McAfee Avert Stinger -Workaround-
14e. Portscanner and more...
Über die folgenden Onlineportscanner könnt ihr eure bisherigen Safety-Erfolge überprüfen lassen, denn hier werden Schwachstellen aufgedeckt und offene und angreifbare Ports aufgezeigt.
Symantec Onlinecheck
Check and Secure
c't-Netzwerkcheck
Windows Live Safety Center
- neu -
Eines haben alle diese Programme zur Erhöhung der Internetsicherheit gemein, sie können nur dann wirklich effektiv arbeiten, wenn sie wenigstens 1x pro Woche aktualisiert werden. Wir empfehlen jeden 2. Tag eine Überprüfung nach Updates vorzunehmen, denn es werden ja nicht nur die Searchengines an aktuelle Bedürfnisse angepaßt, es werden auch Programmfehler beseitigt!
15. Der Stellvertreter...
Gegen Ende unseres Workshops kommen wir zum eigentlichen Knüller, denn wie so oft im Leben ist das schnörkelloseste oft das Beste.
Wenn wir Windows 2000 oder Windows XP Pro als Administrator ausführen, wird das System dadurch anfällig für Trojanische Pferde und andere Sicherheitsrisiken. Schon allein das Besuchen einer Internetsite kann eine starke Gefährdung für das System bedeuten. Eine unbekannte Internetsite verfügt möglicherweise über ein trojanisches Pferd, das auf das System gedownloadet und dort ausgeführt werden kann. Wenn wir uns also mit Administratorrechten anmelden, könnte ein trojanisches Pferd auf unserem System eindringen und beispielsweise die Festplatte formatieren, alle Dateien löschen, ein neues Benutzerkonto mit Administratorrechten erstellen usw.
Voraussetzung für alle weitere ist natürlich die Formatierung mit dem NTFS Dateisystem...!
Also erstellen wir einen neuen Benutzer und nennen ihn "Surfer". Wenn wir uns als Mitglied der Gruppe Benutzer anmelden, können wir Routineaufgaben durchführen, wie das Ausführen von Programmen und das Besuchen von Internetsites, ohne unseren Computer einem unnötigen Risiko auszusetzen. Als Mitglied der Gruppe Benutzer können wir neben diesen Routineaufgaben auch Programme installieren, Drucker hinzufügen und die meisten Programme der Systemsteuerung verwenden. Für Administratoraufgaben, wie das Aktualisieren des Betriebssystems oder das Konfigurieren von Systemparametern, müßen wir uns dann erst abmelden und als Administrator neu anmelden.
Eingeschleuste Programmcodes oder Trojaner haben auf dem von uns angelegten Benutzerkonto dann keine Chance mehr auf eine heimliche Installation, denn auf unserem Benutzerkonto sind sie nicht existent bzw. ohne Administratorrechte gar nicht ausführbar. So können wir in aller Ruhe diese Schädlinge beseitigen, ohne daß wir um unser Admin-Hauptkonto und die dazugehörigen Daten Angst haben müßten.
Sollten wider Erwarten doch Probleme auftauchen und irgendwelche Schädlinge diese Barriere umschifft haben, dann wechseln wir rasch zum Adminkonto, löschen das separate Benutzerkonto aus der Computerverwaltung und aus dem Benutzerprofil in den Systemeigenschaften und legen nach einem Neustart einfach ein neues an.
Auch wenn es keine totale Sicherheit gibt, die Option des eingeschränkten Benutzers ist eine sehr brauchbare Präventivmaßnahme und was noch viel interessanter ist, sie kostet kein Geld.
Auf eines sei aber hingewiesen:
Gegen Würmer wie Sasser & Co. ist auch dieses eingeschränkte Konto machtlos, da sich diese Würmer von außen über die Sicherheitslücken in den Systemdiensten einnisten und dies geschieht über das Konto "System". Dieses Konto hat teilweise mehr Rechte als das Adminkonto und darum wäre der Wurm nach einem erfolgreichen Einbruch der Administrator des Rechners! Wie man diese Lücken erfolgreich schließt um genau das zu verhindern, könnt ihr in den vorbeugenden Maßnahmen unseres Sasser-Wurm-Workshops nachlesen: zum Artikel
Für diese eingeschränkten Konten (das auch unter XP Home funktioniert) bedarf es natürlich Virenscanner und Firewalls, die auch ohne Adminrechte laufen. Dementsprechende Produkte haben wir etwas weiter oben schon empfohlen.
Zum Vergrößern bitte das Bild anklicken !
Zum Vergrößern bitte das Bild anklicken !
Zum Vergrößern bitte das Bild anklicken !
Zum Vergrößern bitte das Bild anklicken !
16. Daten sicher löschen
Die Situation wird jedem geläufig sein: User X verkauft seine Festplatte an User Y und hat sie vorher noch schnell formatiert, damit auch ja keine wichtigen persönlichen Daten mehr auf der Festplatte existieren.
So weit so schlecht, denn User Y ist ein findiges Kerlchen und hat mit einem Wiederherstellungstool die vermeintlich gelöschten Daten der formatierten Festplatte wiederhergestellt. Da User X zu allem Überfluß auch noch seine Passwörter fürs Onlinebanking und die so wichtigen Unterlagen seines neuen Marketingprojektes auf der Festplatte abgelegt hatte, war die Versuchung für User Y groß...
Dieses oder ähnliche Scenarien sind beileibe keine Einzelfälle und werfen die Frage auf: wie kann man sich gegen den Datenmißbrauch gelöschter Dateien wirksam schützen?
Die Antwort ist sehr simpel: mit einem Programm, das die jeweiligen Daten wirklich löscht!
Da warf User X ganz entrüstet ein: "aber ich hab doch die Festplatte extra noch formatiert..."
Wenn man sich vor Augen führt, daß trotz der Formatierung die Daten trotzdem noch physikalisch vorhanden sind und lediglich das "Inhaltsverzeichnis" der Festplatte entfernt wurde, wird schnell klar, daß dieser Weg nicht zum endgültigen Erfolg führt.
Es ist doch so, wenn eine alte Festplatte gegen eine neue ausgetauscht wird, findet sie nicht selten ihren Weg an Freunde, Bekannte oder wird via Online-Auktion im Internet verkauft. Obwohl sich auf so mancher Festplatte persönliche Informationen befinden, löschen die meisten User ihre Daten vor dem Verkauf nicht gründlich: US-Wissenschaftler haben herausgefunden, dass jede vierte entsorgte Festplatte noch vertrauliche Daten enthält. Von 158 Festplatten die sie bei eBay ersteigerten, waren nur zwölf vollständig gelöscht.
Ein unhaltbarer Zustand und hier setzt unsere Empfehlung an, denn wir stellen euch ein Programm vor, das dieses Dilemma zuverlässig abstellt:
O&O SafeErase V2.0 -der komplette Artikel-
17. Microsoft Update - die Renovierungen im Detail -
Seit vielen Jahren bietet Microsoft für Programmierfehler und Sicherheitslücken in seinen Betriebssystemen Updates an, die relativ schnell über das bisherige "Windows-Update" zu schließen waren. Gerade bei weit verbreiteten Betriebssystemen wie Windows XP ist diese Online-Aktualisierung ein wichtiger Eckpfeiler für den sicherheitsbewußten Anwender gewesen. Daran wird sich auch in der Zukunft nichts ändern, allerdings wird die Angebotspalette nun deutlich und entscheidend erweitert, aber der Reihe nach...
Mit dem Erscheinen des Service Pack 2 für Windows XP im September 2004 hatte Microsoft parallel dazu auch eine neue Generation des Windows Update - die Version 5a - veröffentlicht und nach weiteren 6 Monaten wurde daraus die erste Beta des Windows Update v6.
Seit kurzem gibt es nun unter dem neuen Namen "Microsoft-Update" eine weitere Version. Als Hintergrund für die nun grundsätzlich andere Namensgebung steht die Absicht, künftig neben den Windows-Betriebssystemen auch weitere Microsoft-Produkte in die Updateseite zu integrieren, wie z.B. die Updates für die Office-Schiene.
Neben dem neuen Namen, der erweiterten Funktionen und einer leicht überarbeiteten Optik, wurd auch die für die Erkennung, den Download und Installation verantwortliche Komponente überarbeitet. Sie soll künftig effizienter arbeiten, dies wird durch einen neuen Package Installer ermöglicht, der künftig fest im System verankert bleibt.
Wer z.B. unter Windows XP jetzt den Menüpunkt "Windows Update" im Startmenü oder im Internet Explorer unter "Extras" anwählt, landet direkt auf der neuen Website: zu Microsoft Update
Microsoft Update - der komplette Artikel -
18. Windows XP: Unsichtbare Einträge in der Registry aufspüren
Leider ist Microsofts Registry-Editor Regedit.exe bei der Suche nach Rootkits ->Trojaner- und Wurmeinträgen oder anderen eingeschlichenen Autostarts auf dem PC nicht sonderlich hilfreich, da es Registry-Einträge vom Typ "Zeichenfolge" (REG_SZ) mit mehr als 255 Zeichen langen Namen ignoriert und nicht anzeigt.
Darüber hinaus werden nicht nur Registry-Werte mit überlangen Namen vom Typ REG_SZ ausgeblendet, sondern auch Einträge aller anderen Typen.
Etwas konkreter:
In einem Schlüssel beispielsweise, in dem ein Eintrag mit einem zu langen Namen erstellt wurde, blendet Regedit alle später angelegten Einträge aus. Sofern die nachträglich dazugekommenen Einträge korrekt sind, wertet Windows sie jedoch im Unterschied zu den Einträgen mit den überlangen Namen aus. Auf diese Weise könnten Autostarts in der Registry verankert sein, die Windows zwar ausführt, Regedit jedoch nicht anzeigt.
Regedit.exe blendet auch Schlüssel aus, allerdings ist hier nicht die Länge des Schlüsselnamens entscheidend, sondern die auf 256 Zeichen begrenzte Länge des kompletten Pfades, also etwa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Nun käme eigentlich der Einwand, "dann nimm doch Regedt32.exe, da gibts diese Probleme nicht..."
Dieser Hinweis fruchtet leider nicht, denn dieses mächtige Tool existiert unter Windows XP nur noch als Wrapper (ein Programm, das als Interface zwischen dem aufrufenden und dem umschlossenen Programmcode agiert) auf Regedit.exe und kann im Gegensatz zu Windows NT und Windows 2000 leider nicht mehr separat gestartet werden...
Windows XP: Unsichtbare Einträge in der Registry aufspüren -der komplette Artikel-
weiterführende Links und Artikel:
An dieser Stelle wollen wir noch auf einige sicherheitsrelevante Artikel aus unserem Archiv verweisen und wichtige Links aufzeigen:
MS Removal Tool im Einsatz
- neu -
Windows 2000/XP: Windows Worms Doors Cleaner
- neu -
Windows 2000/XP: Diensteoptimierung -Workaround-
Anti-Hijacker-Workshop
Sasser.Wurm-Workaround
Wurmvertilgung mit McAfee AVERT Stinger
MyDoom.A/MyDoom.B Workaround
Die W32.Blaster-Wurmattacke....der Workshop
Windows NT/2000/XP/2003: DCOM/RPC Schwachstellen abschotten
- neu -
Norton Antivirus/NIS: abgelaufene Zertifikate blockieren den Rechner
Probleme mit Norton Update und Autoprotect beseitigen
Dateien endgültig löschen
Support-User deaktivieren
Dateien verschlüsseln
Nachrichtendienst deaktivieren
Registrierdatenbank sperren
automatisches Löschen der zuletzt verwendeten Dokumente
Workstation sperren
Fehlgeschlagene Anmeldungen überwachen
Kennwortdiskette anfertigen
Auskundschaften beenden
XP-Firewall deaktivieren
Temporäre Internet Files, Verlauf und Cookies löschen
Sobig-Wurm aus den E-Mails verbannen
Bundesamt für Sicherheit in der Informationstechnik
c't Browsercheck
Firewall-Check
Nachbetrachtung:
Wir hoffen, daß unsere kleine Exkursion in Sachen Internetsicherheit bezogen auf Windows 2000/XP einiges an Denkprozessen in Gang gebracht hat, denn die allermeisten, aus diesem Thema resultierenden, Probleme und Fehler sind vermeidbar.
Wir lesen beispielsweise mittlerweile fast täglich von neu entdeckten Sicherheitslücken der Microsoft-Betriebssysteme oder deren Applikationen, die dann aber sehr oft genauso schnell geschlossen werden.
Natürlich ist es schon manches mal lästig, ständig nach Aktualisierungen zu schauen, aber wenn es dann zur Katastrophe kommt, weil ein Hacker durch ein Sicherheitsloch geschlüpft ist und euren Rechner zu seinem deklariert und euch aussperrt, ist das Geschrei groß. Nehmt euch einfach die Zeit und macht es zur Routine, es ist ein Übel aber ein notwendiges.
Man kann eigentlich gar nicht abschätzen, wieviele Computerprobleme bereits in der Entstehung verhindert werden könnten, wenn ein Mindestmaß an Sicherheitsbewußtsein umgesetzt werden würde.
Dieser Workshop wird permanent erweitert, insofern lohnt sich ein regelmäßiger Besuch auf jeden Fall...
Cerberus
|
